利用Python编写具有加密和解密功能的Burp插件!

在这篇文章中，我将将为读者介绍如何利用Python语言为Burp创建处理加密插件时所需的相关技巧。在这里，我们将举例说明如何为Burp插件添加一个新的选项卡，用以对应用的通信数据进行加解密处理。这样一来，我们不仅可以在运行中修改payload，还可以使用Repeater选项卡（以及其他选项卡）。实际上，在测试移动和胖客户端应用程序时，我就使用过类似的插件。

相关代码可以从下列地址下载:

https://github.com/parsiya/Parsia-Code/tree/master/python-burp-crypto

Echocrypt

此前，我曾经使用Go语言编写了一个简单的客户端/服务器应用程序。其中，客户端使用的是AES-CFB，以硬编码的密钥/IV对示例文本进行加密。我们知道，AES-CFB可以将AES密码转换为流密码。每隔五秒，密文就被编码为base64形式，并通过localhost:8080端口上的代理，将其发送到POST请求体中规定的服务器。

默认情况下，echo服务器会侦听localhost:9090端口（当然，我们也可以通过serverAddr和serverPort进行相应的修改）。它将尝试对payload执行相应的解码和解密处理。如果解密成功，则服务器将在响应中返回payload，否则，返回错误消息。

其中，main.go可以通过下列地址下载：

https://github.com/parsiya/Parsia-Code/blob/master/python-burp-crypto/echocrypt/main.go

搭建实验环境

本实验是在Windows10虚拟机中进行的。不过，凡是支持Go语言应用程序的平台，都可以顺利完成该实验。

运行Burp，并在localhost:8080端口设置代理侦听器。这里使用的是Burp的默认侦听器。

将过滤器（filter）设置为Show All，这样就可以在Burp Listener选项卡中查看流量数据了。

“Show All”过滤器

将main.go复制GoPath目录，并通过go run main.go运行它。

运行main.go

返回Burp，这时就可以看到流量数据了。

Burp中看到的流量数据

同时，Burp Repeater也能正常使用了。

Burp Repeater中显示的样本请求的响应

模板

这里使用的是一个臭名昭着的Burp示例，下载地址为https://github.com/PortSwigger/example-custom-editor-tab。该插件能够查找含有名为data的参数的请求，并对其进行base64解码，然后显示到一个新选项卡中。本文中，我们将沿用相同的处理方式，同时，还会添加AES加密/解密功能。

为了适应进展程度和插件中使用的技术，我已为该插件和helper模块创建了多个不同的版本。其中，我们将0-decoder作为起点，然后，根据文章内容的进展，逐步升级完善。所有的修改，我都用Parsia:做了标记。

注意：

·每次修改插件时，可以通过“Loaded”复选框完成相应的卸载和重新加载过程。这样，就不用删除和添加插件了。

· 从其他步骤中切换到该插件时，必须卸载之前的插件。

Base64解码器

下面，让我们从一个修改过的自定义编辑器选项卡开始入手，用它充当我们的模板。它只是对内容部分进行Base64解码，然后将其存储到一个名为Decrypted的新选项卡中。相关的文件，读者可以从0-decoder目录中找到。

library.py

现在，我们先来创建一些helper模块，对于这些模块，我在前一篇名为Python Utility Modules for Burp Extensions的文章中进行了详细的解释。Burp Exceptions会被加载到Burp的“Folder for loading modules”选项指定的文件夹下面（具体参见Extender > Options）。当然，我们也可以将其设置为Jython所在的文件夹。

配置Extender

helper函数的代码虽然很短，却非常有用：

# 0-decoder/library.py
 
# getInfo processes the request/response and returns info
def getInfo(content, isRequest, helpers):
 if isRequest:
 return helpers.analyzeRequest(content)
 else:
 return helpers.analyzeResponse(content)
 
# getBody returns the body of a request/response
def getBody(content, isRequest, helpers):
 info = getInfo(content, isRequest, helpers)
 return content[info.getBodyOffset():]
 
# setBody replaces the body of request/response with newBody and returns the result
# should I check for sizes or does Python automatically increase the array size?
def setBody(newBody, content, isRequest, helpers):
 info = getInfo(content, isRequest, helpers)
 content[info.getBodyOffset():] = newBody
 return content
 
# decode64 decodes a base64 encoded byte array and returns another byte array
def decode64(encoded, helpers):
 return helpers.base64Decode(encoded)
 
# encode64 encodes a byte array and returns a base64 encoded byte array
def encode64(plaintext, helpers):
 return helpers.base64Encode(plaintext)

我将helper作为参数进行传递。在上面给出的文章中，已经对给出了相应的解释。实际上，获取Burp的helper对象的唯一方法，就是调用getHelpers()。

我建议大家花点时间来了解一下getbody和setbody方法。它们可以用来操纵POST请求的整个主体。要想与特定参数进行交互，请使用IExtensionHelpers中的AddParameter、RemoveParameter以及其他方法。

extension.py

该插件只需进行稍许的改动。我们可以借助https://github.com/securitymb/burp-exceptions进行相应的调试，并且，我已经删除了处理data参数的相关代码。

导入相关模块

最初，仅仅导入了4个模块，它们都来自该模板。之后，还需导入Burp-Exceptions的支持模块，最后，还需导入helper库。

注意：由于我们的代码是运行在Jython中的，所以，我们还可以导入Java类，这方面的内容稍后再详述。

# 0-decoder/extension.py
from burp import IBurpExtender
from burp import IMessageEditorTabFactory
from burp import IMessageEditorTab
from burp import IParameter
 
# Parsia: modified "custom editor tab" https://github.com/PortSwigger/example-custom-editor-tab/.
 
# Parsia: for burp-exceptions - see https://github.com/securityMB/burp-exceptions
from exceptions_fix import FixBurpExceptions
import sys
 
# Parsia: import helpers from library
from library import *
 
BurpExtender

下面，我们来创建一个BurpExtender类。

class BurpExtender(IBurpExtender, IMessageEditorTabFactory):
 
 #
 # implement IBurpExtender
 #
 
 def registerExtenderCallbacks(self, callbacks):
 # keep a reference to our callbacks object
 self._callbacks = callbacks
 
 # Parsia: obtain an extension helpers object
 self._helpers = callbacks.getHelpers()
 
 # set our extension name
 # Parsia: changed the extension name
 callbacks.setExtensionName("Example Crypto(graphy)")
 
 # register ourselves as a message editor tab factory
 callbacks.registerMessageEditorTabFactory(self)
 
 # Parsia: for burp-exceptions
 sys.stdout = callbacks.getStdout()
 
 #
 # implement IMessageEditorTabFactory
 #
 
 def createNewInstance(self, controller, editable):
 # create a new instance of our custom editor tab
 return CryptoTab(self, controller, editable)

变化之处：

· 插件的名称：callbacks.setExtensionName("Example Crypto(graphy)")

· 插件类的名称：CryptoTab

· 插件的helper：self._helpers = callbacks.getHelpers()

· Burp的异常支持：sys.stdout = callbacks.getStdout()

CryptoTab

新选项卡是通过CryptOTab类创建的。

def __init__(self, extender, controller, editable):
 self._extender = extender
 self._editable = editable
 # Parsia: Burp helpers object
 self.helpers = extender._helpers
 
 # create an instance of Burp's text editor to display our decrypted data
 self._txtInput = extender._callbacks.createTextEditor()
 self._txtInput.setEditable(editable)

这里，只是为Helper对象创建了一个副本，并将其作为一个字段添加到选项卡：self.helpers=extender._helpers。这么做只是处于方便性的考量，因为还可以通过self._extender._helpers来访问它。

def getTabCaption(self):
 # Parsia: tab title
 return "Decrypted"
 
def getUiComponent(self):
 return self._txtInput.getComponent()
 
def isEnabled(self, content, isRequest):
 return True
 
def isModified(self):
 return self._txtInput.isTextModified()
 
def getSelectedData(self):
 return self._txtInput.getSelectedText()

这里大部分内容都没有什么变化，唯一的变动之处便是选项卡的标题。

setMessage

SetMessage是一个回调函数，用于设置Decrypted选项卡中的文本。

def setMessage(self, content, isRequest):
 if content is None:
 # clear our display
 self._txtInput.setText(None)
 self._txtInput.setEditable(False)
 
 # Parsia: if tab has content
 else:
 # get the body
 body = getBody(content, isRequest, self.helpers)
 # base64 decode the body
 decodedBody = decode64(body, self.helpers)
 # set the body as text of message box
 self._txtInput.setText(decodedBody)
 # this keeps the message box edit value to whatever it was
 self._txtInput.setEditable(self._editable)
 
 # remember the displayed content
 self._currentMessage = content

其中，content是一个存放请求或响应内容的字节数组。如果没有请求/响应（例如，空白的Repeater选项卡），则content的值为None，这时，选项卡将为空白的，且无法进行编辑。

如果该选项卡有相应的请求/响应:

· 提取主体。对于该操作，我们将使用自己的getBody函数（我会将self.helpers传给它）。

· 使用模块（decode64）中的另一个函数对主体进行解码。

· 将解码后的文本置于消息框中。

· 确定消息框是否处于可编辑状态。这主要看self._editable的取值情况。这意味着，Proxy>HTTP History中的消息框是不可编辑的，但Repeater中的消息框则是可编辑的。

· 将选项卡的内容存储到self._currentMessage中。将来，当我们希望使用在选项卡（例如，在Repeater中）进行的修改来更新请求时，就会用到它们。

进群：960410455 获取源码！

小结

在本文中，我们为读者详细介绍如何利用Python编写具有加密和解密功能的Burp插件，由于篇幅较长，分为上下两部分，更多精彩内容，将在下篇中继续为读者献上。